Как организовать доступ к SQS queue из SNS?

Question

[Вадим]

Привет всем,

вопрос 1-й. Как известно можно позволить SNS посылать сообщения в SQS, если мы приделаем к SQS queue следующие IAM permission:

{
  "Version": "2012-10-17",
  "Id": "arn:aws:sqs:eu-west-1:123456789012:communications-email-queue/SQSDefaultPolicy",
  "Statement": [
    {
      "Sid": "Sid456724056456",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "SQS:SendMessage",
      "Resource": "arn:aws:sqs:eu-west-1:123456789012:communications-email-queue",
      "Condition": {
        "ArnEquals": {
          "aws:SourceArn": "arn:aws:sns:eu-west-1:123456789012:ias-usermanagement"
        }
      }
    }
  ]
}

А можно ли это же сделать через какую-ту другую Policy, например прикрепив ее к SNS (topic) и дав ей разрешение писать в SQS?

Answer 1

[Иван Шумов]

это работает не так) policy и роли не крепятся к ресурсу. в policy есть Principal - кому можно, Action - что можно (или нельзя) и Resource - с каким ресурсом производится действие. Ну и условие прикреплено - откуда трафик.

По факту при запросе просто валидируются полиси для отправной и конечной точки трафика

Comments

[Вадим]

@inoise

Иван здравствуй,

в данном конкретном случае, написанное вверху - это SQS Queue Access Policy, которое прикреплено к конкретному Queue и позволяет писать сообщения из SNS в SQS, если зайти в SQS queue, то можно увидеть его в разделе Permissions... я не нашел его в разделе IAM ---> Policies ---> Customer Managed !

[Иван Шумов]

Вадим, это одно и то же) просто оно рисуется в определенных интерфейсах

[Вадим]

Значит написанное вверху - Customer managed policy?

[Иван Шумов]

Вадим, Полная архитектура тут.

[Иван Шумов]

Вадим, да. Но AWS специально для CloudFormation выделили дополнительный тип https://docs.aws.amazon.com/AWSCloudFormation/late...

[Вадим]

Понятно... особый случай значит )